본문 바로가기

사이버 공급망 위험 발생 가능성 증가, 위험관리체계 구축 필요성 증대

미국·일본·영국·호주 등 주요국, 위험관리 보안대책 마련

[산업일보]
4차 산업혁명 기술이 본격적으로 도입되면서 다양한 사물과 서비스, 조직, 시스템 등이 공급망(Supply Chain)에 포함되고 있다. 그러나 아웃소싱의 확대, ICT 글로벌 공급망의 복잡도 증가, 개발과 제조 과정 등 공급망의 불투명성, 화웨이·ZTE 등 중국 장비에 대한 보안 우려와 같이 내·외적 요인으로 인해 공급망 위험의 발생 가능성이 높아지고 있다.

한국인터넷진흥원(KISA)의 ‘주요국 사이버 공급망 위협관리 정책 동향 및 시사점’ 보고서에 따르면 미국, 일본, 영국, 호주 등 주요국에서는 정부차원 또는 산업 분야별로 소프트웨어 및 하드웨어, 서비스를 포함한 사이버 공급망 위험관리(Cyber Supply Chain Risk Management, 이하 C-SCRM) 방안을 마련하고 있다.

사이버 공급망 위험 발생 가능성 증가, 위험관리체계 구축 필요성 증대

국내에서도 국가·공공기관이 IT제품을 도입하는 경우, CC인증 확인 및 보안적합성 검증 등의 관리 방안이 있고, 민간에서는 소프트웨어나 보안, 정보시스템 개발·구축 단계에서 보안활동, 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증기준 등의 보안대책을 요구한다.

이에 대해 김소선 고려대 정보보호대학원 사이버보안정책센터 책임연구원은 국내의 보안관리체계는 5G, IoT 기기, 클라우드 서비스 등 모든 ICT 제품과 서비스를 포함해 전반적인 공급망의 위험을 관리하기에는 한계점이 있다면서, 미국·일본·영국·호주 등 주요국의 사이버 공급망 위험관리 정책 동향을 분석해 세 가지 특징을 도출했다고 밝혔다.

먼저 정부기관은 사이버 공급망 위험으로 인해 국가 안보에 심각한 위협이 될 수 있음을 인식하고 모든 ICT 제품과 서비스에 대한 조달 요건을 강화했다. 공급망의 투명성 확보와 위험관리에 대한 책임을 강조하고, 공급망 위험을 고려해야 하는 시스템 기준을 구체적으로 제시하는 등 제품 및 서비스에 대한 위험평가 프로세스 수립·운영, 조달 시의 공급자에 대한 평가기준 강화 등 규제를 기반으로 사이버 공급망 위험관리 체계를 구축하고 있다.

민간 부문은 전력 등 일부 분야를 제외하고는 산업계 또는 국제표준 단체를 중심으로 자발적 참여에 의해 공급망 위험관리 정책이 추진되고 있다. 그러나 민·관 협력체계를 기반으로 TF팀을 구성해 활동을 시작하거나, 행정명령을 통해 정부기관은 물론 특정 기업의 정보통신기술과 서비스에 대한 취득, 설치, 거래 및 사용을 금지함으로써 정부기관이 민간부문의 ICT 공급망 위험관리 활동에 직·간접적으로 개입하는 모습이 드러나고 있다.

조직, 인력, 정보, 사물에 이르기까지 통합적인 관점에서의 공급망 위험관리 접근방식은 3계층 모델과 6개의 구성요소(조직, 인력, 사물, 데이터, 절차, 시스템)를 정의해 각 계층별 신뢰성을 확보하는 것이 필요하다. 각 주체들은 위험관리 프로세스를 기반으로 계층별 구성요소에 대해 보안대책을 적용해 스마트시티, 스마트교통과 같은 ICT 융합 환경에서 사이버-물리보안의 통합적 접근 방식의 도입을 고려할 수 있다고 보고서는 밝혔다.

김소선 책임연구원은 보고서를 통해 ‘IT/OT 환경 제품 및 서비스에 대한 전 생명주기를 고려하여 전반적인 공급망의 무결성과 신뢰성을 확보하기 위한 사이버 공급망 위험관리체계를 구축하고, 이를 지속적으로 개선하고 유지하는 방안을 마련해 변화하는 공급망 위험에 대비해야 한다’고 밝혔다.
ad광고추천제품

0 / 1000

추천제품

1/8

가상화폐 시세

loader
Bitcoin logo icon

비트코인

%
Ethereum logo icon

이더리움

%
Ripple logo icon

리플

%
Provided by Bithumb logo icon